一、故障描述
問題描述
某政府用戶求助,其網(wǎng)絡正在遭遇不明問題。由于該用戶承擔重要的業(yè)務系統(tǒng)運營,因此,該問題對其業(yè)務穩(wěn)定性有較大影響,需要盡快定位問題原因并做出相應對策。
從業(yè)務操作層面來講,無論是內(nèi)部用戶還是外部用戶,在訪問其Web或其他服務器時,感受較慢;從技術層面做簡單的Ping測試,出現(xiàn)如下現(xiàn)象:
從上面的內(nèi)網(wǎng)Ping測試結果來看,訪問目標確實存在間歇性丟包現(xiàn)象。從丟包結果明顯看到,這與常見的網(wǎng)絡擁塞等情況下的丟包狀況不太一樣。
以上信息證明,該網(wǎng)絡的確存在問題,需要進一步分析原因。
網(wǎng)絡與應用結構描述
在進行分析前,通過與技術負責人簡單的交流,得知其網(wǎng)絡大致結構如下:
上面的拓撲結構簡明描述了用戶的網(wǎng)絡和應用部署結構,需要說明的幾點有:
IPS沒有過多的策略定制;
FW對所有流量均透明;
流控設備僅對內(nèi)部用戶啟用NAT,外網(wǎng)用戶訪問DMZ或DMZ流向外網(wǎng)數(shù)據(jù)均未做NAT;
用戶擁有103.16.80.0/129的公網(wǎng)IP地址,除了路由器和流控設備使用了2個外,其他的都用在DMZ區(qū)域。
內(nèi)網(wǎng)用戶訪問方式描述
由于本次故障分析是在內(nèi)網(wǎng)進行,所以有必要說明一下內(nèi)網(wǎng)用戶在訪問DMZ區(qū)域的數(shù)據(jù)變化及流經(jīng)過程。
如下圖所示:
假如用戶A要訪問OA服務器E,其訪問途徑為上圖紅色標記的1-4。其中,流控設備作為A的NAT設備,同時,A的數(shù)據(jù)會從流控B發(fā)送到C,然后再返回B到交換機D到E。
用戶A在內(nèi)網(wǎng)的訪問IP地址變化如下:
發(fā)送數(shù)據(jù)包:A IP——>B:103.16.80.131——>E:103.16.80.189;
返回數(shù)據(jù)包:E:103.16.80.189——>B:103.16.80.131——> A IP;
其中用戶A的IP為私有IP地址(內(nèi)網(wǎng)用戶均使用私有IP)。
二、分析方案及思路
基本分析思路
無論是外網(wǎng)還是內(nèi)網(wǎng)對DMZ區(qū)域的主機Ping操作都呈現(xiàn)相同現(xiàn)象,而內(nèi)網(wǎng)用戶區(qū)域相互Ping測試則不存在問題,所以,建議先在DMZ區(qū)域交換機D上設置端口鏡像并采集和分析。
如果在D設備上流量可以分析到相關問題原因或有所新的發(fā)現(xiàn),則根據(jù)發(fā)現(xiàn)再進一步部署分析策略。
分析設備部署
如下圖,將科來網(wǎng)絡分析系統(tǒng)接入到交換機D的流量鏡像端口。由于未知丟包原因或目標(幾乎所有DMZ主機都丟包),建議不設置任何過濾器,即捕獲所有數(shù)據(jù)包。
分析檔案與方案選擇
在使用科來網(wǎng)絡分析系統(tǒng)前,選擇正確的分析檔案和分析方案,這對分析效率及數(shù)據(jù)處理性能方面都有極大的優(yōu)化作用。這一步不可忽視。
根據(jù)用戶的實際網(wǎng)絡情況,以及對應問題特性,在進行數(shù)據(jù)捕獲時,采用如下網(wǎng)絡檔案和分析方案,且不進行任何過濾器設置。
三、分析過程
分析過程包括數(shù)據(jù)捕獲后的總體分析,異常發(fā)現(xiàn)和分析。此部分對DMZ區(qū)域交換機D上捕獲的數(shù)據(jù)進行分析。
總體分析
數(shù)據(jù)包基本信息
如下圖,采集時間約55.5秒的數(shù)據(jù)包,包含25,003個數(shù)據(jù)包,未設置任何過濾器。
統(tǒng)計信息
從下圖的統(tǒng)計信息可以查看到,流量分布基本正常;數(shù)據(jù)包大小分布中,64-127字節(jié)的數(shù)據(jù)包數(shù)約為1024-1518字節(jié)數(shù)據(jù)包個數(shù)的3倍,這說明網(wǎng)絡中小包數(shù)據(jù)過多。
從會話及應用信息的統(tǒng)計中看到,在55.5秒時間內(nèi),DNS查詢和響應次數(shù)分別超過1400個,從數(shù)量來說較偏大。
故障信息統(tǒng)計
采用分析系統(tǒng)默認診斷定義,提示共有6658個診斷,分布在應用層到物理層不等,其中最多的是傳輸層的數(shù)據(jù)包重傳和重復確認,超過了6000個,這說明網(wǎng)絡質(zhì)量情況不佳。
另外,系統(tǒng)提示存在ARP請求風暴,通過分析,確認所有的ARP請求數(shù)據(jù)包均為正常數(shù)據(jù)包,且頻率不高,不會對網(wǎng)絡內(nèi)主機造成影響或欺騙。
問題分析
問題分析部分,主要針對發(fā)現(xiàn)的異常現(xiàn)象進行分析和驗證。
異常發(fā)現(xiàn)
在進行內(nèi)部用戶訪問方式描述時曾提到,網(wǎng)關103.16.80.129的MAC地址為00:13:7F:71:DD:91,這個MAC只有當數(shù)據(jù)流經(jīng)路由器時才會使用到。見下圖:
推薦閱讀
云計算安全問題究竟是什么問題? 人們常把云計算服務比喻成電網(wǎng)的供電服務。《哈佛商業(yè)評論》前執(zhí)行主編Nick Carr在新書“The Big Switch”中比較了云計算和電力網(wǎng)絡的發(fā)展,他認為“云計算對技術產(chǎn)生的作用就像電力>>>詳細閱讀
本文標題:網(wǎng)絡安全虛假源地址網(wǎng)絡攻擊分析案例
地址:http://www.oumuer.cn/a/11/20130425/267133.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示